Para estas fechas navideñas muchas personas envían felicitaciones y postales. A los amigos, familiares y a otros compañeros de trabajo. También es habitual encontrar correos de felicitación o mensajes navideños que nos llegan a través de WhatsApp. En algunas ocasiones, incluso de gente desconocida, de páginas web donde nos hemos registrado, de nuestro banco o de la empresa para la que trabajamos. Lo que ocurre es que además de añadir el mensaje navideño, estas felicitaciones deben cumplir la ley de protección de datos.
¿Qué se debe realizar para enviar una felicitación según la RGPD y LOPD? ¿Deben todas las personas obtener un consentimiento previo? ¿Qué casos son habituales y no siempre cumplen con todo lo necesario? Hablamos con Samuel Parra, jurista especializado en privacidad y protección de datos para que nos detalle los pasos a seguir si queremos felicitar a alguien por año nuevo de manera estricta.
Requisitos para enviar una felicitación por año nuevo de manera formal
Para enviar una felicitación navideña, por año nuevo o para los Reyes Magos, es necesario saber que se debe obtener el consentimiento previo del destinatario. Este consentimiento se puede obtener de diversas maneras, pero debe quedar específicamente detallado. Además del consentimiento, el Reglamento General de Protección de Datos exige una serie de peculiaridades. El jurista nos las detalla en un hilo a través de su cuenta personal de Twitter.
Recordad que este año, si queréis enviar una felicitación navideña debéis:
— Samuel Parra ️️�� RGPD - GDPR (@Samuel_Parra) 21 de diciembre de 2018
- Documentarlo en vuestro registro de Actividades del Tratamiento.
- Obtener el consentimiento previo del destinatario.
- Guardar una prueba de dicho consentimiento.
[SIGUE]
La primera pregunta es obligada. ¿A quién afectan estas medidas? ¿Deben todas las personas realizar todos estos procesos? ¿Si felicito a mi madre por WhatsApp también necesito su consentimiento?
El reglamento en su artículo 2.2 especifica que el ámbito doméstico y entre familiares está excluido. Es decir, si la felicitación entra dentro de las relaciones personales cercanas no se necesita este consentimiento. Este ámbito sin embargo no siempre está totalmente definido, ya que quedaría a criterio del juez en cada caso determinar si el ámbito doméstico aplica o no.
Por ejemplo, si felicitamos a un compañero de trabajo desde nuestro móvil personal al suyo sí estaríamos en ámbito personal, pero si lo hacemos al móvil de empresa ya no. Si enviamos una felicitación a todos los contactos de WhatsApp y entre ellos por ejemplo está el repartidor o el fontanero, tampoco. Incluso en redes sociales el ámbito no está claro. Como nos explica Samuel, cuentas de Facebook con un muy elevado número de amigos excedería lo personal.
Mucho más clara es la situación cuando intervienen empresas. Correos de felicitación a los trabajadores o envío de felicitaciones a contactos profesionales sí deberían cumplir algunos de los siguientes requisitos.
- Documentarlo en vuestro registro de Actividades del Tratamiento. No hay un modelo concreto, pero estas felicitaciones deben quedar registradas en un documento de obligado cumplimiento para las empresas.
- Obtener el consentimiento previo del destinatario. El cliente debe especificar que sí acepta recibir felicitaciones de navidad. En la política de privacidad debe existir una "cláusula navideña" necesaria para la prestación.
- Guardar una prueba de dicho consentimiento. Si por ejemplo es un correo, un escrito o simplemente una base de datos donde esté marcada la casilla.
- Ofrecer un sistema sencillo al destinatario para que no vuelva a recibir felicitaciones navideñas en el futuro. Darse de baja del correo u ofrecer una dirección postal donde solicitarlo.
- Realizar un análisis de riesgos respecto al tratamiento de datos necesario para el envío. Por ejemplo, si se trata de una clínica privada estos datos de historiales médicos y contactos no pueden estar en una recepción sin llave o accesibles sin autorización. Nuestros datos deben estar protegidos y las empresas deben asegurarse de ello.
- Si estás entre los 16 supuestos del artículo 34.1 de la LOPDgdd, designar un delegado de protección de datos e informar sobre cómo contactar con él. Es el caso de colegios profesionales, aseguradores, colegios y aquellos colectivos que manejan información susceptible.
- Tener firmado un contrato de encargado del tratamiento con la plataforma de envío masivo de email. Si una empresa contrata un servicio externo para enviar correos y le facilita los datos de todos sus trabajadores, antes deben firmar un contrato y verificar si cumplen con la ley.
- Verificar que el encargado del tratamiento elegido cumple adecuadamente con el RGPD y LOPDgdd y adopta las medidas de seguridad pertinentes. Y es que en caso de problemas, según nos detalla Samuel, el responsable seríamos nosotros por elegir un servicio que no debíamos.
Estas fechas son idóneas para enviar centenares de mensajes, pero estos requisitos aplican también a cumpleaños y otro tipo de felicitaciones. No cumplir con el RGPD puede conllevar problemas con los trabajadores u otros compañeros, ya que no todas las personas desean que su nacimiento o edad se comparta libremente.
Feliz año a todos.
Ver 11 comentarios